¿Cómo funciona?
La empresa Trustwave SpiderLabs explicó que llegó como un correo electrónico:
''El correo electrónico de phishing contenía un archivo .ZIP adjunto que cuando se extrae revela un archivo HTML, que conduce a una descarga de archivos maliciosos posándose como una factura. El mensaje de correo electrónico se origina en un formato de dirección de correo electrónico que utiliza el dominio "temporary[.]link" y tiene Roundcube Webmail listado como el User-Agent-string''. El archivo HTML contiene un enlace («facturasmex[.]cloud») que muestra un mensaje de error diciendo «esta cuenta ha sido suspendida«, pero cuando se visita desde una dirección IP geolocalizada en México, carga una página de verificación CAPTCHA que utiliza Cloudflare Turnstile.
Este paso allana el camino para una redirección a otro dominio desde donde se descarga un archivo .RAR malicioso. El archivo .RAR viene con un script de PowerShell que recopila metadatos del sistema y comprueba la presencia de software antivirus en el sistema comprometido.
También incorpora varias cadenas codificadas en Base64 que están diseñadas para ejecutar scripts PHP para determinar el país del usuario y recuperar un archivo ZIP de Dropbox que contiene «muchos archivos altamente sospechosos».
La empresa mencionó que esta campaña tiene ciertas similitudes con la del malware de Horabot, que ha apuntado anteriormente a usuarios de Hispanoamérica.
«Usar dominios recién creados y hacerlos accesibles solo en países específicos es otra técnica de evasión, especialmente si el dominio se comporta de manera diferente dependiendo de su país objetivo«, dijo Trustware.
El desarrollo se produce cuando Malwarebytes reveló una campaña de malaciosa dirigida a los usuarios de búsqueda de Microsoft Bing con anuncios falsos para NordVPN que conducen a la distribución de un troyano de acceso remoto llamado SectopRAT (alias ArechClient) alojado en Dropbox a través de un sitio web falso («besthord-vpn[.]com»).
La compañía de seguridad de la red dijo que también descubrió un malware Golang que «utiliza múltiples comprobaciones geográficas y paquetes disponibles públicamente para capturar el sistema antes de instalar un certificado raíz en el registro de Windows para las comunicaciones HTTPS al [servidor de mando y control]».
Como conclusión, les recomendamos estar ALERTAS a cualquier correo o archivo que pueda corromper o perjudicar la seguridad de sus equipos. Nada de descargar cosas extrañas, eh.
